Datenschutz ist Unternehmensrisiko RSA erweitert Security-Portfolio

19. Oktober 2017

Mit den passenden Tools lassen sich die aktuellen DSGVO-, Risiko- und Compliance-Vorgaben beherrschen. Dazu gehören Produkte zur Bewältigung der zahlreichen Herausforderungen, die die Einhaltung von Datenschutzregelungen wie etwa die Datenschutzgrundverordnung der Europäischen Union stellt. Die Archer-Produkte für die Bereiche Data Governance und Privacy Program Management lassen sich mit RSA Netwitness kombinieren, um die Reaktion auf Sicherheitsverletzungen zu beschleunigen. In Verbindung mit RSA Securid bieten sie Identitäts- und Datenzugriffssicherung zur dauerhaften Einhaltung geltender Vorschriften.

Erfolgsentscheidend

Das Privacy Program Management Dashboard; Quelle: RSA

Die Datenschutzgrundverordnung (DSGVO) zwingt Unternehmen auf der ganzen Welt, die Prozesse zu prüfen und zu überarbeiten, die sie für das Management und den Schutz von Daten in der vernetzten Cyberlandschaft von heute nutzen. Eine aktuelle Studie von PwC zeigt, dass mehr als die Hälfte der internationalen US-Konzerne die DSGVO als oberste Priorität beim Thema Datenschutz betrachten.

„Bislang haben wir in einer Welt gelebt, in der Manager das Unternehmen führten, sich die IT für die Infrastruktur verantwortlich zeichnete, die Sicherheitsexperten die Richtlinien vorgaben und die Compliance-Fachleute die Regeln machten. Aber Verordnungen wie die DSGVO lassen jetzt diese traditionellen Grenzen verschwimmen“, so Rohit Ghai, President von RSA. „Die Datenschutzgrundverordnung macht das Cyber-Risiko zum erfolgsentscheidenden Thema für die Unternehmen und ändert damit grundlegend ihre Sichtweise auf die Daten ihrer Kunden.“
RSA bietet eine Kombination von Produkten und Serviceleistungen, die auf diese Thematik zielen, darunter zwei neue Use Cases (Anwendungsfälle) in der Archer-Suite:

•    Der RSA Archer Data Governance Use Case unterstützt Unternehmen bei der besseren Dokumentation von Data-Governance-Anforderungen, wie diese in HIPAA (Health Insurance Portability and Accountability Act), GLBA (Gramm-Leach-Bliley Act) und der DSGVO gefordert werden.
•    Der RSA Archer Privacy Program Management Use Case ermöglicht Unternehmen das ganzheitliche Management von Datenschutzprogrammen und die Prozesse an die Anforderungen und Vorschriften anzupassen, wie z. B. Datenschutz-Folgenabschätzungen und die Überwachung aufsichtsrechtlich relevanter Fälle.

Letztlich betrifft die DSGVO nicht nur Governance, Risikomanagement und Compliance (GRC). Vielmehr wirkt sie sich auf die Unternehmen als Ganzes aus und zwingt sie zur Einführung eines solideren Datenschutz- und Sicherheitskonzepts in vier kritischen Bereichen: Risikobewertung, Abwehrbereitschaft gegen Sicherheitsverletzungen, Daten-Governance und Compliance-Management.

Risikobewertung

Im Artikel 32 der DSGVO sind die Bestandteile eines Prozesses zur Sicherheitsrisikobewertung aufgeführt, der die korrekte Konzeption und Umsetzung von Kontrollmechanismen gewährleistet. Mit einem effektiven Risikobewertungsprozess lässt sich die Verbindung zwischen Risiken und internen Kontrollen rascher erkennen, wobei Lücken in der DSGVO-Compliance gegebenenfalls reduziert und Strategien zur Risikominimierung optimiert werden. Gleichzeitig liefert er den Unternehmen einen Strategieplan zur Verbesserung ihres Sicherheitsstatus in Bezug auf Cyber-Risiken.

Die RSA Archer-Suite erlaubt Unternehmen das Management verschiedener Risikodimensionen mit Lösungen, die auf Industriestandards und Best Practices aufsetzen und auf einer konfigurierbaren, integrierten Plattform basieren. Andere Use Cases, die kritische DSGVO-bezogene Prozesse unterstützen können, aus der RSA Archer-Suite sind:

•    Security Incident Management unterstützt die Unternehmen bei der Bewältigung der Flut von Sicherheitswarnungen und stellt einen Prozess bereit, um sicherheitsrelevante Ereignisse zu eskalieren, zu prüfen und zu lösen.
•    Security Operations and Breach Management erweitert den Prozess zur Bearbeitung sicherheitsrelevanter Ereignisse mit einem zusätzlichen Workflow für Verletzungen der Datensicherheit und für das Management des gesamten Sicherheitsteams.
•    Issues Management unterstützt die Unternehmen bei der Bearbeitung von Problemen, die sich durch Risiko-und Kontrollbewertungen und Audits ergeben.
•    IT Risk Management beschleunigt die Erkennung von IT-Risiken in Verbindung mit DSGVO-Compliance und optimiert die Risikominimierungsstrategien von Unternehmen.
•    IT & Security Policy Program Management stellt ein Framework bereit, das die Unternehmen bei der Einführung einer skalierbaren und flexiblen Struktur für die Dokumentation und Verwaltung der internen Richtlinien/Policies und Prozeduren zur Einhaltung der DSGVO-Vorschriften unterstützt.
•    IT Controls Assurance bietet ein Framework und ein Klassifizierungssystem, das den Unternehmen die systematische Dokumentation der gesamten DSGVO-Kontrollstruktur erlaubt, um die Wirksamkeit der Kontrollmechanismen auf Unternehmenshierarchie- und Geschäftsprozess-Ebene zu bewerten und nachzuweisen.
•    Third Party Catalog hilft bei der Dokumentation von Dienstleistern, Engagements und damit verbundenen Verträgen mit Dritten, um externe Partner im Zusammenhang mit GDPR/DSGVO zu identifizieren.

Detailwissen gefordert

Das Data Governance Dashboard; Quelle: RSA

Der Artikel 33 der Datenschutzgrundverordnung enthält spezifische Vorschriften in Bezug auf die Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, die umfassende Detailkenntnisse über eine Datenschutzverletzung unbedingt erforderlich machen. Jedes Sicherheitsteam arbeitet zwar daran, diese Art von Sicherheitsverletzungen zu verhindern, kann sie jedoch nie vollständig ausschließen. Deshalb befassen sich viele Datenschutzanforderungen mit der Reaktion auf Sicherheitsverletzungen und deren Meldung.

Zudem verlangt die DSGVO die Meldung eines derartigen Vorfalls an die zuständige Aufsichtsbehörde möglichst binnen 72 Stunden, nachdem dem Verantwortlichen die Datenschutzverletzung bekannt wurde. Die neueste Edition der RSA NetWitness-Suite, die in diesem Sommer eingeführt wurde, kann die gesamte Infrastruktur eines Unternehmens nach Hinweisen auf einen Angriff absuchen. Mithilfe von Verhaltensanalysen und maschinellen Lernverfahren liefert sie genauere Aufschlüsse über Art und Umfang einer Datenschutzverletzung und ermöglicht eine schnellere Meldung dank genauerer Details zum Angriffsverlauf.

Ein weiterer kritischer Aspekt der DSGVO-Compliance ist die Kontrolle des Zugriffs auf personenbezogene Daten. Die Unternehmen müssen personenbezogene Daten auf unterschiedliche Art und Weise schützen. Zudem sind sie zum Nachweis der ordnungsgemäßen Dokumentation von Verarbeitungsvorgängen verpflichtet – sie müssen unter anderem die Kategorien der verarbeiteten personenbezogenen Daten, den Zweck der Verarbeitung, Übertragungen an Drittländer außerhalb des Europäischen Wirtschaftsraums und die relevanten technischen und organisatorischen Sicherheitsmaßnahmen dokumentieren.

Die Securid-Suite mit Securid Access und Identity Governance and Lifecycle von RSA ermöglicht es Unternehmen, das Risiko von Identitätsbetrug zu minimieren und einfachen und sicheren Zugriff für ihre Mitarbeiter bereitzustellen. Durch Nutzung von Risikoanalysen und kontextbasierter Erkennung gewährleistet die Securid-Suite, dass die richtigen Mitarbeiter den erforderlichen Zugriff von jedem Ort und jedem Gerät aus haben. Diese Produkte können damit eine wichtige Rolle bei der Erfüllung der Grundanforderungen an die Identitäts- und Zugriffssicherung spielen.

Compliance-Programme schaffen eine skalierbare und flexible Umgebung für die Dokumentation und das Management von relevanten Datenschutzrichtlinien und GDPR-bezogenen Verfahren. Aber die Einhaltung von DSGVO-Vorschriften ist ebenso wie die Gewährleistung der Unternehmenssicherheit ein laufender Prozess, der ständigen Veränderungen unterworfen ist.

Mit einer Reihe von strategischen Services unterstützt die Risk and Cyber Security Practice von RSA Anwender dabei, eine unternehmensbezogene Sicherheitsstruktur zu entwickeln, ein Sicherheits-Zentrum (SOC) aufzubauen und ihr GRC-Programm zu überarbeiten. RSA erweitert sein breites Angebot zudem mit Implementierungsunterstützung und Post-Implementation-Support, um die Kunden in die Lage zu versetzen, maximalen Nutzen aus ihren Investitionen in RSA-Produkte zu ziehen.

Ein strukturierter, gesteuerter Prozess zur Eskalation von Problemen, die im Zuge von Kontrollprüfungen festgestellt wurden, liefert den Unternehmen genauen Aufschluss über Risiken, auf die sie zeitnah reagieren können. Sie profitieren so von rascheren Reaktionen auf auftretende Probleme und schaffen eine proaktivere und stabilere Umgebung, während sie gleichzeitig die Kosten für die DSGVO-Compliance senken. (rhh)

Hier geht es zu RSA

Lesen Sie auch